
Regulierungshandbuch
NIS-2-Bereitschaftspaket für den 30. Juni
Ein praxisnahes, prüfungssicheres Compliance-Toolkit für wesentliche & wichtige Einrichtungen
Das Audit-Ready-Toolkit für wesentliche und wichtige Einrichtungen im Bereich industrieller Anlagen und Prozesse
Die NIS-2-Richtlinie ist in Kraft, und die erste Welle von Audit-Aktivitäten ist kein zukünftiges Risiko mehr. Wenn Ihr Unternehmen PLCs, SCADA-Plattformen, DCS-Systeme oder andere Formen von Operational Technology (OT) in der EU betreibt oder als Zulieferer für einen Sektor Kritischer Infrastrukturen (KRITIS) agiert, hat Ihre Vorbereitungszeit an dem Tag begonnen, an dem Ihre Einrichtung eingestuft wurde u2013 nicht erst an dem Tag, an dem ein Auditor sich ankündigt.
Die meisten Compliance-Teams erstellen eine generische Governance-Dokumentation und nehmen an, dass diese einer Steuerungsumgebung standhält, für die sie nie konzipiert wurde. Das wird sie nicht. Die Risikomanagement-Anforderungen gemäß Artikel 21 greifen direkt in Prozessnetzwerke ein, in denen ein Safety Instrumented System (SIS) keinen Endpoint-Agenten ausführen kann, eine im Jahr 2009 in Betrieb genommene PLC keinerlei Konzept für Multi-Faktor-Authentisierung besitzt und ein aktiver Schwachstellenscan einen Regelkreis unterbrechen kann, anstatt eine Schwachstelle zu finden.
Das Shieldworkz NIS-2 30-Juni-Readiness-Kit schließt genau diese Lücke: Ein praktisches, auditbereites Compliance-Toolkit, das speziell für wesentliche und wichtige Einrichtungen entwickelt wurde. Es ist präzise Maßnahme für Maßnahme strukturiert, damit Ihr Team und Ihre Auditoren genau wissen, was eine verbindliche gesetzliche Anforderung gemäß Richtlinie (EU) 2022/2555 ist und was empfohlene Praxis darstellt u2013 inklusive einer dedizierten OT-/IEC-62443-Ebene für alle Fälle, in denen industrielle Umgebungen andere technologische Antworten erfordern als die klassische IT.
Inhalt des Pakets
Ein Leitfaden für Führungskräfte zur organisatorischen Bereitschaft, der die Einstufung von Einrichtungen, die Verantwortlichkeit gemäß Artikel 20 und die Sanktionsstruktur nach Artikel 32–34 abdeckt. Ein vollständiges Toolkit zur Vorfallbewältigung gemäß Artikel 23, ausfüllbare Berichtsvorlagen für die 24-Stunden-, 72-Stunden- und Ein-Monats-Meldung, ein Entscheidungsbaum zur Bestimmung des Schweregrads sowie eine RACI-Matrix. Ein Business-Continuity-Paket mit Strukturen für BCP, DRP und das Krisenmanagement. Ein Toolkit für die Lieferkettensicherheit zur Umsetzung von Artikel 21 Absatz 2 Buchstabe d und Artikel 21 Absatz 3, inklusive Fragebögen für Lieferanten und Risikobewertungsverfahren. Ein Zugriffskontroll-Kit für MFA, privilegierten Zugriff (Privileged Access) und die Audits zum Joiner-Mover-Leaver-Prozess, bei denen die häufigsten Fehler auftreten. Sowie ein dedizierter OT/ICS-Bereich, der Artikel 21 auf die Asset-Inventarisierung, die Segmentierung nach Zonen und Leitungen (Zones-and-Conduits) und eine sicherheitsbewusste Vorfallreaktion (Incident Response) abbildet – ergänzt durch neun Compliance-Checklisten, eine Reifegrad-Scorecard, eine 90-Tage-Roadmap und ein präsentationsfertiges Dashboard für den Vorstand.
Warum das wichtig ist
Die NIS-2-Richtlinie selbst sieht kein EU-weit einheitliches gesetzliches Datum zum 30. Juni 2026 für den Nachweis des ersten Sicherheitsaudits vor; die Festlegung der Kontrollzyklen obliegt den jeweiligen nationalen Umsetzungsgesetzen der Mitgliedstaaten. Drei konvergierende Faktoren machen den 30. Juni 2026 jedoch in der Praxis zum entscheidenden Stichtag: Die nationale Umsetzung in Ungarn nennt dieses Datum explizit als gesetzliche Frist für das Erstaudit; das informell verfolgte EU-weite Ziel wurde bereits einmal vom 31. Dezember 2025 auf den 30. Juni 2026 verschoben; und das jährliche Zeitfenster für die Einstufung von Einrichtungen in Italien schließt sich am selben Tag. Nichts davon ändert den Zeitpunkt, ab dem Ihre Verpflichtungen gelten. Es ändert jedoch den Zeitpunkt, ab dem eine aufschiebende Haltung nicht mehr tragbar ist.
OT-Umgebungen stellen in diesem Zusammenhang die größte Herausforderung dar. Artikel 21 ist produkt- und technologieneutral formuliert; er schließt veraltete industrielle Anlagen nicht aus. Ein Steuerungssystem (SCADA/PLC), das über ein Jahrzehnt lang nicht gepatched wurde, weil das Einspielen von Updates das Risiko eines ungeplanten Stillstands birgt, ist kein theoretischer Befund. Es handelt sich um die spezifische, wiederkehrende Sicherheitslücke, die von den Aufsichtsbehörden im Rahmen der frühen NIS-2-Durchsetzung bereits als schwächster Punkt identifiziert wird. Dies ist die Lücke, die das Kit schließt: passive Erkennung (Passive Discovery) anstelle von aktivem Scannen, das einen Regelkreis stören könnte, sowie ingenieurtechnisch freigegebene Incident-Response-Maßnahmen anstelle einer automatisierten Eindämmung, die selbst ein Sicherheitsereignis auslösen könnte.
Warum Sie dieses Kit jetzt herunterladen sollten
Die meisten Ressourcen zur NIS-2-Compliance richten sich an IT-Sicherheitsteams. Dieses Kit wurde speziell für diejenigen entwickelt, die das Audit-Risiko tragen: OT-Sicherheitsverantwortliche, CISOs, Betriebsleiter, die mit regulatorischen Anforderungen konfrontiert sind, und Compliance-Teams, die gegenüber den zuständigen Behörden (im Sinne des BSI/KRITIS) eine belastbare Argumentation benötigen. Inhalt: Ausfüllbare Vorlagen für die Vorfallsmeldung gemäß den genauen Fristen nach Artikel 23, eine strukturierte Checkliste zur Unterscheidung von Mindestanforderungen und Empfehlungen, eine Reifegrad-Scorecard sowie ein 90-Tage-Roadmap zur Behebung von Schwachstellen, die so sequenziert ist, dass kostengünstige, hochwirksame Lücken zuerst geschlossen werden.
Compliance-Projekte scheitern meist nach demselben Muster: Sie werden als reine Dokumentationsübung behandelt, die erst in der Woche beginnt, in der die Audit-Ankündigung eintrifft. Zu diesem Zeitpunkt lassen sich veraltete Vorstandsprotokolle oder Protokolle über wiederherstellungsgeprüfte Backups nicht mehr rückwirkend erstellen. Dieses Kit dient dazu, diese Prozesse zeitnah anzustoßen – solange noch genügend Zeit bleibt, um sie präzise und nicht unter dringendem Zeitdruck umzusetzen.
Wesentliche Erkenntnisse aus dem Leitfaden
Die Klassifizierung ist die Grundlage für alles. Ob Sie als wesentliche oder wichtige Einrichtung eingestuft werden, entscheidet über Ihr Aufsichtsmodell und Ihr Haftungsrisiko gemäß den Artikeln 32–34: bis zu 10 Millionen € oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen, 7 Millionen € oder 1,4 % für wichtige Einrichtungen.
Die Rechenschaftspflicht nach Artikel 20 ist personengebunden, nicht nur unternehmensbezogen. Ein Programm, das vom Vorstand nie formell genehmigt wurde, stellt auf dem Papier eine Lücke gemäß Artikel 20 dar – und es ist stets das Erste, was eine Aufsichtsbehörde zur Prüfung anfordert.
Die 24/72-Stunden-Meldefrist ist keine bloße Theorie. Unternehmen, die den Eskalationspfad von der Leitwarte über den CISO bis zum CSIRT nicht praktisch erprobt haben, werden diese Frist unter realem Druck nicht einhalten können.
OT benötigt ein eigenes Playbook, nicht ein nachträglich angepasstes IT-Konzept. Passive Erkennung und ingenieurtechnisch freigegebene Schadenseindämmung (Containment) sind der Weg, wie Artikel 21 umgesetzt wird – ohne einen Sicherheitsvorfall im physischen Betrieb (Safety) zu riskieren, während man versucht, einen Cybersicherheitsvorfall zu verhindern.
Wie Shieldworkz Ihre NIS-2-Konformität unterstützt
Ein Toolkit bringt Sie ein großes Stück des Weges voran. Es ersetzt jedoch nicht das Urteilsvermögen eines Teams, das bereits Industrieanlagen vor Ort analysiert, reale Steuerungsnetzwerke erfasst und Auditoren direkt gegenübergesessen hat. Shieldworkz ist ein spezialisiertes OT- und ICS-Cybersicherheitsunternehmen mit globalen Implementierungen in den Bereichen Energie, Fertigung, Versorgung, Öl und Gas sowie kritische Infrastrukturen (KRITIS). Unsere Lösungen wurden speziell für die industrielle Umgebung entwickelt und nicht von einem IT-Sicherheitsprogramm mit einer darauf geklebten OT-Broschüre adaptiert.
Unsere Dienstleistungen im Rahmen von NIS2 und IEC 62443 decken alle Phasen ab: von der ersten OT-Sicherheitsbewertung, die die Checklisten des Toolkits in ein reales, evidenzbasiertes Bild Ihrer Umgebung überführt, über die passive Asset-Erkennung und das IT/OT-Segmentierungsdesign bis hin zur OT-SOC-Integration und Managed Threat Intelligence. Jeder Auftrag wird von Praktikern geleitet, die wissen, was eine Modbus-Funktionscode-Anomalie bedeutet und wie ein CVSS-Score im Kontext einer Prozesssteuerung – anstelle eines Server-Racks – zu bewerten ist. Das Ziel ist kein umfangreicheres Dokument, sondern die Gewissheit, dass das vorhandene Konzept an dem Tag standhält, an dem es wirklich darauf ankommt.
Lad en Sie das Ki t herunter und buchen Sie Ihre kostenl ose Experte n-Beratun g
Das NIS2-Vorbereitungspaket (Stichtag 30. Juni) steht Ihnen kostenlos zum Download zur Verfügung. Es wurde speziell für Entscheidungsträger entwickelt, die präzise, praxisnahe Leitfäden auf Expertenniveau benötigen – statt Marketingmaterial, das als Compliance-Ressource getarnt ist. Füllen Sie das Formular aus, um Ihr Exemplar herunterzuladen und direkt zu nutzen: Integrieren Sie die Vorlagen zur Vorfallmeldung in Ihre nächste Krisenstabsübung (Tabletop Exercise), gleichen Sie die Gap-Analysis-Bewertungsmatrix mit Ihrer aktuellen Systemlandschaft ab und übergeben Sie die Struktur des Management-Dashboards an die für Ihren nächsten Aufsichtsratsbericht verantwortliche Person.
Nachdem Sie das Vorbereitungspaket geprüft haben, vereinbaren Sie gerne Ihre kostenfreie Erstberatung mit einem OT-Sicherheitsspezialisten von Shieldworkz. Wir besprechen Ihren aktuellen Umsetzungsstatus, die kritischsten Lücken gemäß Artikel 21 und die effektivsten ersten Schritte für Ihren spezifischen Sektor sowie Ihren regulatorischen Zeitplan.
Warten Sie nicht auf die offizielle Audit-Ankündigung, um Ihre Schwachstellen aufzudecken.
Laden Sie noch heute Ihre Kopie herunter!
Sichern Sie sich unser kostenfreies NIS-2-Compliance-Kit zum Stichtag 30. Juni und gewährleisten Sie die Audit-Bereitschaft für jede Sicherheitsmaßnahme gemäß Artikel 21 in Ihrer industriellen Betriebsumgebung
